자습서: Okta 로그온 정책을 Microsoft Entra 조건부 액세스로 마이그레이션
이 자습서에서는 Microsoft Entra ID의 Okta 조건부 액세스에 있는 전역 또는 애플리케이션 수준 로그온 정책에서 조직을 마이그레이션하는 방법을 알아봅니다. 조건부 액세스 정책은 Microsoft Entra ID 및 연결된 애플리케이션에서 사용자 액세스를 보호합니다.
자세한 정보: 조건부 액세스란?
이 자습서에서는 사용자가 다음을 보유하고 있다고 가정합니다.
- 로그인 및 다단계 인증을 위해 Okta에 페더레이션된 Office 365 테넌트
- Microsoft Entra Connect 서버 또는 Microsoft Entra ID에 대한 사용자 프로비전을 위해 구성된 Microsoft Entra Connect 클라우드 프로비전 에이전트
필수 조건
라이선스 및 자격 증명 필수 구성 요소는 다음 두 섹션을 참조하세요.
라이선스
OKTA 로그온에서 조건부 액세스로 전환하는 경우 라이선스 요구 사항이 있습니다. 이 프로세스에서는 Microsoft Entra 다단계 인증 등록을 사용하도록 설정하기 위해 Microsoft Entra ID P1 라이선스가 필요합니다.
자세히 알아보기: Microsoft Entra 관리 센터에서 라이선스 할당 또는 제거
엔터프라이즈 관리자 자격 증명
SCP(서비스 연결 지점) 레코드를 구성하려면 온-프레미스 포리스트에 엔터프라이즈 관리자 자격 증명이 있는지 확인합니다.
전환을 위한 OKTA 로그온 정책 평가
Okta 로그온 정책을 찾아 평가하여 Microsoft Entra ID로 전환할 항목을 결정합니다.
OKTA에서 보안>인증>로그온으로 이동합니다.
애플리케이션으로 이동합니다.
하위 메뉴에서 애플리케이션을 선택합니다.
활성 앱 목록에서 Microsoft Office 365 연결 인스턴스를 선택합니다.
로그온을 선택합니다.
페이지 아래쪽으로 스크롤합니다.
Microsoft Office 365 애플리케이션 로그온 정책에는 다음 네 가지 규칙이 있습니다.
- 모바일 세션에 MFA 적용: iOS 또는 Android의 최신 인증 또는 브라우저 세션에서 MFA가 필요합니다.
- 신뢰할 수 있는 Windows 디바이스 허용 - 신뢰할 수 있는 OKTA 디바이스에 대한 불필요한 확인 또는 팩터 프롬프트를 방지합니다.
- 신뢰할 수 없는 Windows 디바이스에서 MFA 필요: 신뢰할 수 없는 Windows 디바이스의 최신 인증 또는 브라우저 세션에서 MFA가 필요합니다.
- 레거시 인증 차단: 레거시 인증 클라이언트가 서비스에 연결하지 못하게 차단합니다.
다음 스크린샷은 로그온 정책 화면의 네 가지 규칙에 대한 조건 및 작업입니다.
조건부 액세스 정책 구성
OKTA 조건과 일치하도록 조건부 액세스 정책을 구성합니다. 그러나 일부 시나리오에서는 추가 설정이 필요할 수 있습니다.
- Okta 네트워크 위치를 Microsoft Entra ID의 명명된 위치로 변경
- 디바이스 기반 조건부 액세스에 대한 OKTA 디바이스 신뢰(사용자 디바이스를 평가하는 두 가지 옵션):
- Windows 10, Windows Server 2016 및 2019와 같은 Windows 디바이스를 Microsoft Entra ID에 동기화하려면 다음 섹션인 Microsoft Entra 하이브리드 조인 구성을 참조하세요.
- 디바이스 규정 준수 구성 섹션을 참조하세요.
- Windows 10, Windows Server 2016, Windows Server 2019와 같은 Windows 디바이스를 Microsoft Entra ID에 동기화하는 Microsoft Entra Connect 서버의 기능인 Microsoft Entra 하이브리드 조인 사용을 참조하세요.
- Microsoft Intune에 디바이스 등록을 참조하고 준수 정책을 할당합니다.
Microsoft Entra 하이브리드 조인 구성
Microsoft Entra Connect 서버에서 Microsoft Entra 하이브리드 조인을 사용하도록 설정하려면 구성 마법사를 실행합니다. 구성 후 디바이스를 등록합니다.
참고 항목
Microsoft Entra Connect 클라우드 프로비전 에이전트에서는 Microsoft Entra 하이브리드 조인이 지원되지 않습니다.
SCP 구성 페이지에서 인증 서비스 드롭다운을 선택합니다.
OKTA 페더레이션 공급자 URL을 선택합니다.
추가를 선택합니다.
온-프레미스 엔터프라이즈 관리자 자격 증명을 입력합니다.
다음을 선택합니다.
팁
전역 또는 앱 수준 로그온 정책에서 Windows 클라이언트의 레거시 인증을 차단한 경우 Microsoft Entra 하이브리드 조인 프로세스를 완료할 수 있도록 하는 규칙을 만듭니다. Windows 클라이언트에 대해 레거시 인증 스택을 허용합니다.
앱 정책에서 사용자 지정 클라이언트 문자열을 사용하도록 설정하려면 OKTA 도움말 센터에 문의하세요.
디바이스 규정 준수 구성
Microsoft Entra 하이브리드 조인은 Windows에서 Okta 디바이스 신뢰를 바꿉니다. 조건부 액세스 정책은 Microsoft Intune에 등록된 디바이스에 대한 규정 준수를 인식합니다.
디바이스 규정 준수 정책
Windows 10/11, iOS, iPadOS 및 Android 등록
Microsoft Entra 하이브리드 조인을 배포한 경우 다른 그룹 정책을 배포하여 Intune에서 이러한 디바이스의 자동 등록을 완료할 수 있습니다.
Microsoft Entra 다단계 인증 테넌트 설정 구성
팁
이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.
조건부 액세스로 변환하기 전에 조직의 기본 MFA 테넌트 설정을 확인합니다.
하이브리드 ID 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID>사용자>모든 사용자로 이동합니다.
사용자 창 상단 메뉴에서 사용자별 MFA를 선택합니다.
레거시 Microsoft Entra 다단계 인증 포털이 나타납니다. 또는 Microsoft Entra 다단계 인증 포털을 선택합니다.
레거시 MFA를 사용하도록 설정된 사용자가 없는지 확인: 다단계 인증 메뉴의 다단계 인증 상태에서 사용 및 적용을 선택합니다. 테넌트에 다음 보기의 사용자가 있는 경우 레거시 메뉴에서 사용하지 않도록 설정합니다.
적용 필드가 비어 있는지 확인합니다.
서비스 설정 옵션을 선택합니다.
앱 암호 옵션을 사용자가 브라우저에 기반하지 않는 앱에 로그인하기 위해 앱 암호를 만들 수 없음으로 변경합니다.
인트라넷의 페더레이션 사용자로부터 발생한 요청인 경우 다단계 인증 건너뛰기 및 사용자가 신뢰하는 디바이스에 대한 다단계 인증을 저장하도록 허용(1~365일 동안) 확인란의 선택을 취소합니다.
저장을 선택합니다.
참고 항목
조건부 액세스 정책 구축
조건부 액세스 정책을 구성하려면 조건부 액세스 배포 및 디자인 모범 사례를 참조하세요.
필수 구성 요소 및 설정된 기본 설정을 구성한 후 조건부 액세스 정책을 빌드할 수 있습니다. 정책은 애플리케이션, 테스트 사용자 그룹 또는 둘 다를 대상으로 할 수 있습니다.
시작하기 전에 다음을 수행합니다.
Microsoft Entra 관리 센터에 로그인합니다.
ID로 이동합니다.
Microsoft Entra ID에서 정책을 만드는 방법을 알아봅니다. 일반 조건부 액세스 정책: 모든 사용자에 대해 MFA 필요를 참조하세요.
디바이스 신뢰 기반 조건부 액세스 규칙을 만듭니다.
위치 기반 정책과 디바이스 신뢰 정책을 구성한 후 조건부 액세스가 포함된 Microsoft Entra ID를 사용한 레거시 인증을 차단합니다.
이러한 세 가지 조건부 액세스 정책을 사용하면 원래 Okta 로그온 정책 환경이 Microsoft Entra ID에 복제됩니다.
MFA에 파일럿 구성원 등록
사용자는 MFA 메서드에 등록합니다.
개별 등록의 경우 사용자는 Microsoft 로그인 창으로 이동합니다.
등록을 관리하려면 Microsoft 내 로그인 | 보안 정보로 이동합니다.
자세히 알아보기: Microsoft Entra ID에서 결합된 보안 정보 등록을 사용하도록 설정합니다.
참고 항목
사용자가 등록한 경우 MFA를 충족한 후 내 보안 페이지로 리디렉션됩니다.
조건부 액세스 정책 사용
테스트하려면 생성된 정책을 테스트 사용자 로그인 사용으로 변경합니다.
Office 365 로그인 창에서 테스트 사용자 John Smith에게 OKTA MFA 및 Microsoft Entra 다단계 인증을 사용하여 로그인하라는 메시지가 표시됩니다.
OKTA를 통해 MFA 확인을 완료합니다.
사용자에게 조건부 액세스를 묻는 메시지가 표시됩니다.
정책이 MFA에 대해 트리거되도록 구성되었는지 확인합니다.
조건부 액세스 정책에 조직 구성원 추가
파일럿 구성원에 대한 테스트를 수행한 후 등록 후 나머지 조직 구성원을 조건부 액세스 정책에 추가합니다.
Microsoft Entra 다단계 인증과 OKTA MFA 간에 이중 프롬프트를 방지하려면 OKTA MFA를 옵트아웃합니다(로그온 정책 수정).
OKTA 관리 콘솔로 이동합니다.
보안>인증을 선택합니다.
로그온 정책으로 이동합니다.
참고 항목
OKTA의 모든 애플리케이션이 애플리케이션 로그온 정책으로 보호되는 경우 글로벌 정책을 비활성으로 설정합니다.
MFA 적용 정책을 비활성으로 설정합니다. Microsoft Entra 사용자를 포함하지 않는 새 그룹에 정책을 할당할 수 있습니다.
애플리케이션 수준 로그온 정책 창에서 규칙 사용 안 함 옵션을 선택합니다.
비활성을 선택합니다. Microsoft Entra 사용자를 포함하지 않는 새 그룹에 정책을 할당할 수 있습니다.
MFA 없이 액세스를 허용하는 애플리케이션에 대해 활성화된 애플리케이션 수준 로그온 정책이 하나 이상 있는지 확인합니다.
사용자가 다음에 로그인할 때 조건부 액세스에 대한 메시지가 표시됩니다.